Red Hat Summit5.4. Configuration du transfert DNS PrivateLink d’AWS
Avec les clusters AWS PrivateLink, une zone hébergée publique et une zone hébergée privée sont créées dans la Route 53. Avec la zone privée hébergée, les enregistrements à l’intérieur de la zone ne peuvent être résolus qu’à partir du VPC auquel elle est attribuée.
La validation Let's Encrypt DNS-01 nécessite une zone publique afin que des certificats valides et de confiance publique puissent être délivrés pour le domaine. Les enregistrements de validation sont supprimés une fois que la validation Let's Encrypt est terminée; cependant, la zone est toujours nécessaire pour la délivrance et le renouvellement de ces certificats, qui sont généralement requis tous les 60 jours. Bien que ces zones semblent généralement vides, elles jouent un rôle essentiel dans le processus de validation.
Consultez la documentation des zones privées hébergées pour plus d’informations sur les zones hébergées privées. Consultez la documentation des zones hébergées par AWS pour plus d’informations sur les zones hébergées par le public.
Conditions préalables
- Le réseau d’entreprise ou autre VPC dispose d’une connectivité
- Le port UDP 53 et le port TCP 53 ARE activés sur vos réseaux pour permettre des requêtes DNS
- Création d’un cluster AWS PrivateLink à l’aide du service Red Hat OpenShift sur AWS
Procédure
- Afin d’autoriser les enregistrements tels que api.<cluster_domain> et *.apps.<cluster_domain> à résoudre en dehors du VPC, configurez un point d’arrivée de Route 53 Resolver.
- Lorsque vous configurez le point d’extrémité entrant, sélectionnez les sous-réseaux VPC et privés qui ont été utilisés lors de la création du cluster.
- Après que les points de terminaison soient opérationnels et associés, configurez votre réseau d’entreprise pour transférer les requêtes DNS vers ces adresses IP pour le domaine du cluster de premier niveau, tels que drow-pl-01.htno.p1.openshiftapps.com.
- Lorsque vous transmettez des requêtes DNS d’un VPC vers un autre VPC, configurez les règles de transfert.
- Lorsque vous configurez votre serveur DNS réseau distant, consultez la documentation spécifique du serveur DNS pour configurer le transfert DNS sélectif pour le domaine du cluster installé.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}